iOS和macOS曝关键漏洞，可能绕过TCC框架

2024年12月16日，苹果的iOS和macOS系统被曝出一个严重漏洞（CVE-2024-44131），该漏洞可能绕过透明度、同意和控制（TCC）框架，导致敏感信息未经授权被访问。TCC框架是苹果设备的核心安全功能，负责用户对应用程序访问敏感数据的授权。

漏洞位于文件提供组件中，具体表现为恶意应用可在后台通过符号链接劫持文件移动或复制操作，从而访问包括健康数据、GPS位置、麦克风、摄像头等敏感信息。该攻击能够绕过TCC框架，且在过程中不会触发任何提示，极大地削弱了设备的安全性。

该漏洞被Jamf Threat Labs发现并报告，指出攻击者通过利用文件管理组件fileproviderd的高权限，能够在不被用户察觉的情况下，将数据上传到远程服务器。尽管苹果已经在iOS 18、iPadOS 18和macOS Sequoia 15中通过增强符号链接验证修复了此问题，但漏洞的严重性引发了对系统访问控制和用户隐私的广泛关注。

此外，苹果还发布了其他安全更新，修复了WebKit、音频逻辑漏洞等问题，并加强了Safari浏览器的隐私保护，防止网站通过私人中继获取原始IP地址。

警方秘密植入间谍软件监控活动人士，引发国际关注

12月16日，国际TS组织发布报告《数字监狱：塞尔维亚对公民社会的监视和压制》，揭露塞尔维亚警方和情报部门使用Cellebrite取证工具及NoviSpy间谍软件对记者和活动人士实施监控。报告指出，NoviSpy可远程激活目标设备的麦克风和摄像头，而Cellebrite工具被用以解锁设备并提取数据。

调查显示，塞尔维亚当局通过审讯期间秘密感染设备，侵犯目标隐私，压制言论自由。国际TS组织呼吁塞尔维亚政府停止滥用间谍软件，并为受害者提供赔偿，同时强调Cellebrite工具潜在的滥用风险。此次事件揭示了先进监控技术对公民自由和隐私的威胁，再次引发国际社会对政府数字监控行为的关注。

目前准备开发一个小项目

大概软件想设计成一个隐私保护助手

软件获取安卓设备管理员（无需root） 可以进行一些数据清除操作

我目前构思了两种功能
1.指定短信内容发送到手机上后自动执行恢复出厂设置
2.设备长期未打开自动执行清除操作

剩下的我还没想好还能加入什么功能

目前只能在android设备使用

欢迎大家提供新的构思

暗网情报三则：涉美军基地、政府邮箱权限及国内手机厂数据泄露

12月12日监测发现三起重大暗网出售事件：

1. 美军空军基地防火墙权限
   美军空军某基地防火墙Root访问权限以800美元出售，可能导致军事系统严重安全威胁。

2. 多国政府与警察系统邮箱权限
   涉及泰国皇家警察、意大利内政部等多个国家的政府和警察邮箱账户，售价从15美元到250美元不等，有些账户还附带数字签名，存在伪造文件的潜在风险。

3. 国内某智能手机厂商泰国工厂数据泄露
   黑客声称窃取了165GB数据，包括2200万条客户记录、员工信息及内部系统细节，售价2万美元。

俄罗斯再演练“主权互联网” 多地区断网近24小时

12月11日，俄罗斯进行了新一轮“主权互联网”测试，导致多个地区互联网中断近24小时。本次测试主要影响了车臣、达吉斯坦和印古什等少数民族聚居地区，用户无法访问包括YouTube、谷歌、WhatsApp和Telegram在内的国内外服务，甚至通过VPN也无法绕过限制。

俄罗斯互联网和媒体监管机构Roskomnadzor表示，此次演习旨在测试基础设施在遭遇外部干扰时的稳定性，并确保国内关键服务的运行。分析认为，选定少数民族地区测试，可能是为了在社会动荡时快速限制对特定应用的访问。

俄罗斯多年来致力于打造“Runet”独立网络，并加速与全球互联网技术脱钩。今年9月，克里姆林宫投入巨资加强技术能力，限制流量并屏蔽西方平台。近期，俄罗斯还威胁封锁包括AWS和GoDaddy在内的多家外国托管服务商，进一步加强网络控制。这些措施表明俄罗斯正逐步迈向更严格的网络审查和技术独立。

美国制裁中国网络安全公司及员工 涉嫌2020年网络攻击

12月10日，美国财政部宣布对一家位于四川的中国网络安全公司及其员工实施制裁，指控其参与2020年4月针对全球防火墙的网络攻击。攻击利用零日漏洞传播恶意软件，影响了超23,000个防火墙设备，其中包括美国36家关键基础设施企业的系统。

制裁内容包括冻结该公司及员工在美财产，并禁止任何与其相关的交易。美国国务院还悬赏1000万美元，征集相关信息。此外，该员工可能面临美国司法部的起诉。

美国政府表示，这次攻击曾试图通过勒索软件进一步加剧影响，若未及时修补漏洞，可能造成严重后果，包括设备故障和人员伤亡。

此次制裁旨在打击威胁关键基础设施的网络行为，并警告相关组织和个人对美国网络安全构成的潜在风险。

参考资源 [1]

下载地址 https://paste.fo/raw/380012d039a7

微软秘密为所有 LinkedIn 用户启用了一项功能，授权自己使用用户数据来训练其 AI 模型LinkedIn近日更新隐私政策，明确表示将收集用户生成的内容用于训练其生成式AI功能，未征得用户同意的做法引发了广泛争议。微软高管Blake Lawit在一份“信任与安全”更新中透露，LinkedIn已开始自动收集用户帖子和个人数据以用于AI模型训练。

虽然欧盟和部分欧洲国家用户的数据暂时不会被用于训练AI，但LinkedIn的这一举动仍引发了用户对隐私侵犯的强烈不满。用户可通过设置手动关闭数据收集功能，以保护个人隐私。

**阿里云相册泄密

创建空相册 筛选图片 即可看到他人照片**

安卓0day漏洞暗网开卖 真假未知https://breachforums.st/Thread-SELLING-0day-Android-RCE-Exploit-ZeroClickZeroClick